仙台CTF2019_Writeup_フォレンジック

はじめに

2019年11月16日(土)に行われた仙台CTF2019に行ってきました!結果的にはボコボコだったために悔しかったです。
フォレンジックの問題は少し理解できたのでそのWriteupを書いていきます。 www.sendai-ctf.org

フォレンジック

For1.パスワード変更日時
For2.違法動画
For3.通信履歴

For1.パスワード変更日時

[問題]
・現状の開発用PCには強固なパスワードが設定されていますが、機密情報が流出した当時は脆弱なパスワードが設定されていた可能性があります。
・委託先社員が、情報流出の連絡を受けてからパスワードを変更した痕跡がないか確認し、パスワードが変更された日時を特定してください。なお、機密情報が流出しているというメールが届いた日時は、2019年10月27日09:00です。  
[フラグ]  
開発用PCのユーザー「develop」のパスワード最終変更日時(半角、yyyy/mm/dd-hh:mm:ss)
[配布ファイル]  
SAM

SAMファイルはレジストリファイルであり、ローカルユーザーやグループアカウントに関する情報が保存されている。つまりこの中のdevelopを見れば答えがわかる。
しかし、レジストリファイルは通常では開くことができないため自分はツールを使って開いた。今回使ったのはこのツール。 Windows-Registry-File-Viewer

開くとこんな感じで表示される。 f:id:kura_hyt51:20191125133440p:plain

developの情報はSAM¥Domains¥Account¥User¥Names¥にある。
f:id:kura_hyt51:20191126091536p:plain

developを右クリック→Key Informationで情報が出てくる。Date Modified(最終変更)が書いてあるので2019/10/23-02:04:04でSubmit。
するとなぜか弾かれる。。。。。
UTC(協定世界時)とJST(日本標準時)の問題かと思い9時間をプラスして2019/10/23-11:04:04でSubmit。

Flag :2019/10/23-11:04:04

参考資料
第5回 システム設定を集中管理するレジストリ:Windows OS入門 - @IT
ASCII.jp:Windowsの設定を保存するレジストリの構造を分析する (1/2)|Windows Info

For2.違法動画

[問題]  
・委託先社員が開発用PCに接続していたUSBメモリには、P2Pからダウンロードしたと思われる違法な動画ファイルが格納されていました。
・開発用PCに違法な動画ファイル(無料動画.zip)が格納されていた痕跡がないか確認してください。  
[フラグ]  
違法な動画ファイル「無料動画.zip」が削除された日時(半角、yyyy/mm/dd-hh:mm:ss)
[ファイル]  
$J

$JはUSNジャーナルのメインファイル。USNジャーナルにはファイルやフォルダの変更が記録されている。つまり$Jに「無料動画.zip」のログが残っているはずなので探し出す。
$Jはそのままでは開けないのでパースする。今回使ったのはこのツール USN Analytics | Forensicist

parseフォルダに結果を作成する。
f:id:kura_hyt51:20191126142023p:plain

作成されたcsvのファイルを開いて「無料動画.zip」で検索。
f:id:kura_hyt51:20191126142502p:plain

当然のごとく文字化けしているのでヒットしなかったw
.zipで絞って文字化けしているファイルを探しだしたりするのが普通なのかもしれないが気合でなんとかした。(文字化けテスター ) f:id:kura_hyt51:20191126143441p:plain
f:id:kura_hyt51:20191126143701p:plain

4件ヒットしたが削除された日時を答えるのでDELETE|CLOSEとある4つ目の日付2019/10/27-11:48:23でSubmit。 f:id:kura_hyt51:20191126143916p:plain


Flag :2019/10/27-11:48:23

参考資料
https://www.jpcert.or.jp/present/2018/JSAC2018_03_yamazaki.pdf

For3.通信履歴

[問題]  
・委託先社員は、開発用PCにP2Pソフト「Share」をインストールしたことは認めましたが、動画ファイルをダウンロードしたことは無いと証言しています。
・「Share」の通信履歴を調査し、最も大きなファイルをダウンロードした日時と受信バイト数を特定してください。  
[フラグ]  
プログラム「Share.exe」で最も大きなファイルをダウンロードした日時と受信バイト数(半角、yyyy/mm/dd-hh:mm:ss-nnnn)
 ※「n」はバイト数  
[ファイル]  
SRUDB.dat

SRUDB.datはアプリケーションの使用時間やネットワークの使用量などを記録している。
このファイルの中のShare.exeを検索すれば情報がでてくるはず。
ファイルを見るためにNetworkUsageViewを使った。

Share.exeで検索をかければすぐでてきた。
f:id:kura_hyt51:20191128105703p:plain

[フラグ]に書いてあるようにファイルサイズの大きい2019/10/26-18:16:00-84611350でSubmit。

Flag :2019/10/26-18:16:00-84611350

参考資料
【検証】社員のネットサーフィンの証拠をNetworkUsageViewで押さえられるのか? - セキュリティごった煮ブログ|ネットエージェント

感想

フォレンジックの問題は冷静に考えれば全部解けた気がします。。。。
ツールで開くところまでいけたら検索して出てくる問題ばかりだったので時間内に解けなかったことが悔しいです。
何か間違っていたらすみません。